安全问题存档¶

Django的开发团队致力于负责任地报告和披露安全相关问题，如 Django的安全策略中所述。

作为该承诺的一部分，我们保留以下历史清单，列出已确定和披露的问题。对于每个问题，以下列表包括日期，简要说明，CVE标识符（如果适用），受影响版本的列表，完整披露的链接以及到适当补丁的链接。

一些重要的警告适用于此信息：

受影响版本的列表仅包括在公开时具有稳定的，安全支持的版本的那些版本的Django。这意味着较早版本（其安全支持已过期）和在公开时处于预发布（alpha/beta/RC）状态的版本可能已受到影响，但未列出。
Django项目有时会发出安全建议，指出由于配置不当或Django本身以外的其他问题可能导致的潜在安全问题。其中一些顾问已经收到CVEs；当这种情况下，他们在这里列出，但因为他们没有伴随的补丁或版本，只有描述，披露和CVE将被列出。

Django安全过程之前的问题¶

在Django使用正式的安全进程之前，处理了一些安全问题。对于这些，当时可能没有发布新版本，CVE可能尚未分配。

2006年8月16日 - CVE-2007-0404 ¶

翻译框架中的文件名验证问题。完整说明

版本受影响¶

Django 0.90 （补丁）
Django 0.91 （补丁）
Django 0.95 （补丁）（2007年1月21日发布）

2007年1月21日 - CVE-2007-0405 ¶

明显“缓存”经过身份验证的用户。完整说明

版本受影响¶

Django 0.95 （补丁）

Django安全流程下的问题¶

所有其他安全问题已在Django安全过程的版本下处理。这些列在下面。

2007年10月26日 - CVE-2007-5712 ¶

通过任意大的 Accept-Language 报头拒绝服务。完整说明

版本受影响¶

Django 0.91 （补丁）
Django 0.95 （补丁）
Django 0.96 （补丁）

2008年5月14日 - CVE-2008-2302 ¶

XSS通过管理员登录重定向。完整说明

版本受影响¶

Django 0.91 （补丁）
Django 0.95 （补丁）
Django 0.96 （补丁）

2008年9月2日 - CVE-2008-3909 ¶

CSRF通过在管理员登录期间保存POST数据。完整说明

版本受影响¶

Django 0.91 （补丁）
Django 0.95 （补丁）
Django 0.96 （补丁）

2009年7月28日 - CVE-2009-2659 ¶

在开发服务器媒体处理程序中的目录遍历。完整说明

版本受影响¶

Django 0.96 （补丁）
Django 1.0 （补丁）

2009年10月9日 - CVE-2009-3965 ¶

通过病理正规表达的拒绝服务。完整说明

版本受影响¶

Django 1.0 （补丁）
Django 1.1 （补丁）

2010年9月8日 - CVE-2010-3082 ¶

XSS通过信任不安全的cookie值。完整说明

版本受影响¶

Django 1.2 （补丁）

2010年12月22日 - CVE-2010-4534 ¶

管理界面信息泄漏。完整说明

版本受影响¶

Django 1.1 （补丁）
Django 1.2 （补丁）

2010年12月22日 - CVE-2010-4535 ¶

密码复位机制中的拒绝服务。完整说明

版本受影响¶

Django 1.1 （补丁）
Django 1.2 （补丁）

2011年2月8日 - CVE-2011-0696 ¶

CSRF通过伪造的HTTP标头。完整说明

版本受影响¶

Django 1.1 （补丁）
Django 1.2 （补丁）

2011年2月8日 - CVE-2011-0697 ¶

XSS通过未上传的文件的名称。完整说明

版本受影响¶

Django 1.1 （补丁）
Django 1.2 （补丁）

2011年2月8日 - CVE-2011-0698 ¶

在Windows上通过不正确的路径分隔符处理进行目录遍历。完整说明

版本受影响¶

Django 1.1 （补丁）
Django 1.2 （补丁）

2011年9月9日 - CVE-2011-4136 ¶

使用内存高速缓存支持的会话时的会话操作。完整说明

版本受影响¶

Django 1.2 （补丁）
Django 1.3 （补丁）

2011年9月9日 - CVE-2011-4137 ¶

通过 URLField.verify_exists 拒绝服务。完整说明

版本受影响¶

Django 1.2 （补丁）
Django 1.3 （补丁）

2011年9月9日 - CVE-2011-4138 ¶

信息泄漏/通过 URLField.verify_exists 发出任意请求。完整说明

版本受影响¶

Django 1.2：（补丁）
Django 1.3：（补丁）

2011年9月9日 - CVE-2011-4139 ¶

Host 头缓存中毒。完整说明

版本受影响¶

Django 1.2 （补丁）
Django 1.3 （补丁）

2011年9月9日 - CVE-2011-4140 ¶

通过 Host 标题的潜在CSRF。完整说明

版本受影响¶

此通知只是一个建议，所以没有发布修补程序。

Django 1.2
Django 1.3

2012年7月30日 - CVE-2012-3442 ¶

XSS通过无法验证重定向方案。完整说明

版本受影响¶

Django 1.3：（补丁）
Django 1.4：（补丁）

2012年7月30日 - CVE-2012-3443 ¶

通过压缩的图像文件拒绝服务。完整说明

版本受影响¶

Django 1.3：（补丁）
Django 1.4：（补丁）

2012年7月30日 - CVE-2012-3444 ¶

通过大型图像文件的拒绝服务。完整说明

版本受影响¶

Django 1.3 （补丁）
Django 1.4 （补丁）

2012年10月17日 - CVE-2012-4520 ¶

Host 标题中毒。完整说明

版本受影响¶

Django 1.3 （补丁）
Django 1.4 （补丁）

2012年12月10日 - 无CVE 1¶

附加硬化 Host 头处理。完整说明

版本受影响¶

Django 1.3 （补丁）
Django 1.4 （补丁）

2012年12月10日 - 无CVE 2¶

额外加强重定向验证。完整说明

版本受影响¶

Django 1.3：（补丁）
Django 1.4：（补丁）

2013年2月19日 - 没有CVE¶

附加硬化 Host 头处理。完整说明

版本受影响¶

Django 1.3 （补丁）
Django 1.4 （补丁）

2013年2月19日 - CVE-2013-1664 / CVE-2013-1665 ¶

基于实体的针对Python XML库的攻击。完整说明

版本受影响¶

Django 1.3 （补丁）
Django 1.4 （补丁）

2013年2月19日 - CVE-2013-0305 ¶

通过管理历史记录信息泄漏。完整说明

版本受影响¶

Django 1.3 （补丁）
Django 1.4 （补丁）

2013年2月19日 - CVE-2013-0306 ¶

通过形式 max_num 旁路的拒绝服务。完整说明

版本受影响¶

Django 1.3 （补丁）
Django 1.4 （补丁）

2013年8月13日 - CVE-2013-4249 ¶

XSS通过管理员信任 URLField 值。完整说明

版本受影响¶

Django 1.5 （补丁）

2013年8月13日 - CVE-2013-6044 ¶

可能的XSS通过未经验证的URL重定向方案。完整说明

版本受影响¶

Django 1.4 （补丁）
Django 1.5 （补丁）

2013年9月10日 - CVE-2013-4315 ¶

通过 ssi 模板标记的目录遍历。完整说明

版本受影响¶

Django 1.4 （补丁）
Django 1.5 （补丁）

2013年9月14日 - CVE-2013-1443 ¶

通过大密码拒绝服务。完整说明

版本受影响¶

Django 1.4 （补丁和 Python兼容性修复）
Django 1.5 （补丁）

2014年4月21日 - CVE-2014-0472 ¶

使用 reverse() 意外执行代码。完整说明

版本受影响¶

Django 1.4 （补丁）
Django 1.5 （补丁）
Django 1.6 （补丁）
Django 1.7 （补丁）

2014年4月21日 - CVE-2014-0473 ¶

缓存匿名页面可能会显示CSRF令牌。完整说明

版本受影响¶

Django 1.4 （补丁）
Django 1.5 （补丁）
Django 1.6 （补丁）
Django 1.7 （补丁）

2014年4月21日 - CVE-2014-0474 ¶

MySQL类型转换会导致意外的查询结果。完整说明

版本受影响¶

Django 1.4 （补丁）
Django 1.5 （补丁）
Django 1.6 （补丁）
Django 1.7 （补丁）

2014年5月18日 - CVE-2014-1418 ¶

可以允许高速缓存存储和提供私有数据。完整说明

版本受影响¶

Django 1.4 （补丁）
Django 1.5 （补丁）
Django 1.6 （补丁）
Django 1.7 （补丁）

2014年5月18日 - CVE-2014-3730 ¶

用户输入的格式错误的网址验证不正确。完整说明

版本受影响¶

Django 1.4 （补丁）
Django 1.5 （补丁）
Django 1.6 （补丁）
Django 1.7 （补丁）

2014年8月20日 - CVE-2014-0480 ¶

reverse() 可以生成指向其他主机的URL。完整说明

版本受影响¶

Django 1.4 （补丁）
Django 1.5 （补丁）
Django 1.6 （补丁）
Django 1.7 （补丁）

2014年8月20日 - CVE-2014-0481 ¶

文件上传拒绝服务。完整说明

版本受影响¶

Django 1.4 （补丁）
Django 1.5 （补丁）
Django 1.6 （补丁）
Django 1.7 （补丁）

2014年8月20日 - CVE-2014-0482 ¶

RemoteUserMiddleware 会话劫持。完整说明

版本受影响¶

Django 1.4 （补丁）
Django 1.5 （补丁）
Django 1.6 （补丁）
Django 1.7 （补丁）

2014年8月20日 - CVE-2014-0483 ¶

在admin中通过querystring操作泄漏数据。完整说明

版本受影响¶

Django 1.4 （补丁）
Django 1.5 （补丁）
Django 1.6 （补丁）
Django 1.7 （补丁）

2015年1月13日 - CVE-2015-0219 ¶

WSGI头通过下划线/破折号混淆进行欺骗。完整说明

版本受影响¶

Django 1.4 （补丁）
Django 1.6 （补丁）
Django 1.7 （补丁）

2015年1月13日 - CVE-2015-0220 ¶

通过用户提供的重定向URL减轻可能的XSS攻击。完整说明

版本受影响¶

Django 1.4 （补丁）
Django 1.6 （补丁）
Django 1.7 （补丁）

2015年1月13日 - CVE-2015-0221 ¶

对 django.views.static.serve() 的拒绝服务攻击。完整说明

版本受影响¶

Django 1.4 （补丁）
Django 1.6 （补丁）
Django 1.7 （补丁）

2015年1月13日 - CVE-2015-0222 ¶

数据库拒绝服务与 ModelMultipleChoiceField。完整说明

版本受影响¶

Django 1.6 （补丁）
Django 1.7 （补丁）

2015年3月9日 - CVE-2015-2241 ¶

通过 ModelAdmin.readonly_fields 中的属性进行XSS攻击。完整说明

版本受影响¶

Django 1.7 （补丁）
Django 1.8 （补丁）

2015年3月18日 - CVE-2015-2316 ¶

strip_tags() 的拒绝服务可能性。完整说明

版本受影响¶

Django 1.6 （补丁）
Django 1.7 （补丁）
Django 1.8 （补丁）

2015年3月18日 - CVE-2015-2317 ¶

通过用户提供的重定向URL减轻可能的XSS攻击。完整说明

版本受影响¶

Django 1.4 （补丁）
Django 1.6 （补丁）
Django 1.7 （补丁）
Django 1.8 （补丁）

2015年5月20日 - CVE-2015-3982 ¶

固定会话刷新在cached_db后端。完整说明

版本受影响¶

Django 1.8 （补丁）

2015年7月8日 - CVE-2015-5143 ¶

通过填充会话存储拒绝服务的可能性。完整说明

版本受影响¶

Django 1.8 （补丁）
Django 1.7 （补丁）
Django 1.4 （补丁）

2015年7月8日 - CVE-2015-5144 ¶

标头注入的可能性，因为验证器接受输入中的换行符。完整说明

版本受影响¶

Django 1.8 （补丁）
Django 1.7 （补丁）
Django 1.4 （补丁）

2015年7月8日 - CVE-2015-5145 ¶

网址验证中的拒绝服务可能性。完整说明

版本受影响¶

Django 1.8 （补丁）

2015年8月18日 - CVE-2015-5963 / CVE-2015-5964 ¶

通过填充会话存储，在 logout() 视图中的拒绝服务可能性。完整说明

版本受影响¶

Django 1.8 （补丁）
Django 1.7 （补丁）
Django 1.4 （补丁）

2015年11月24日 - CVE-2015-8213 ¶

date 模板过滤器中的设置泄漏可能性。完整说明

版本受影响¶

Django 1.8 （补丁）
Django 1.7 （补丁）

2016年2月1日 - CVE-2016-2048 ¶

具有“更改”但不是“添加”权限的用户可以使用 save_as=True 创建 ModelAdmin 的对象。完整说明

版本受影响¶

Django 1.9 （补丁）

2016年3月1日 - CVE-2016-2512 ¶

恶意重定向和可能的XSS攻击通过用户提供的重定向URL包含基本的验证。完整说明

版本受影响¶

Django 1.9 （补丁）
Django 1.8 （补丁）

2016年3月1日 - CVE-2016-2513 ¶

用户枚举通过定时差异对密码进行工作因子升级。完整说明

版本受影响¶

Django 1.9 （补丁）
Django 1.8 （补丁）

2016年7月18日 - CVE-2016-6186 ¶

XSS在管理员的添加/更改相关弹出窗口。完整说明

版本受影响¶

Django 1.9 （补丁）
Django 1.8 （补丁）

2016年9月26日 - CVE-2016-7401 ¶

使用Google Analytics（分析）在网站上绕过CSRF保护。完整说明

版本受影响¶

Django 1.9 （补丁）
Django 1.8 （补丁）

2016年11月1日 - CVE-2016-9013 ¶

在Oracle上运行测试时创建的硬编码密码的用户。完整说明

版本受影响¶

Django 1.10 （补丁）
Django 1.9 （补丁）
Django 1.8 （补丁）

2016年11月1日 - CVE-2016-9014 ¶

DEBUG=True 时的DNS重绑定漏洞。完整说明

版本受影响¶

Django 1.10 （补丁）
Django 1.9 （补丁）
Django 1.8 （补丁）

安全问题存档¶

Django安全过程之前的问题¶

2006年8月16日 - CVE-2007-0404¶

版本受影响¶

2007年1月21日 - CVE-2007-0405¶

版本受影响¶

Django安全流程下的问题¶

2007年10月26日 - CVE-2007-5712¶

版本受影响¶

2008年5月14日 - CVE-2008-2302¶

版本受影响¶

2008年9月2日 - CVE-2008-3909¶

版本受影响¶

2009年7月28日 - CVE-2009-2659¶

版本受影响¶

2009年10月9日 - CVE-2009-3965¶

版本受影响¶

2010年9月8日 - CVE-2010-3082¶

版本受影响¶

2010年12月22日 - CVE-2010-4534¶

版本受影响¶

2010年12月22日 - CVE-2010-4535¶

版本受影响¶

2011年2月8日 - CVE-2011-0696¶

版本受影响¶

2011年2月8日 - CVE-2011-0697¶

版本受影响¶

2011年2月8日 - CVE-2011-0698¶

版本受影响¶

2011年9月9日 - CVE-2011-4136¶

版本受影响¶

2011年9月9日 - CVE-2011-4137¶

版本受影响¶

2011年9月9日 - CVE-2011-4138¶

版本受影响¶

2011年9月9日 - CVE-2011-4139¶

版本受影响¶

2011年9月9日 - CVE-2011-4140¶

版本受影响¶

2012年7月30日 - CVE-2012-3442¶

版本受影响¶

2012年7月30日 - CVE-2012-3443¶

版本受影响¶

2012年7月30日 - CVE-2012-3444¶

版本受影响¶

2012年10月17日 - CVE-2012-4520¶

版本受影响¶

2012年12月10日 - 无CVE 1¶

版本受影响¶

2012年12月10日 - 无CVE 2¶

版本受影响¶

2013年2月19日 - 没有CVE¶

版本受影响¶

2013年2月19日 - CVE-2013-1664 / CVE-2013-1665¶

版本受影响¶

2013年2月19日 - CVE-2013-0305¶

版本受影响¶

2013年2月19日 - CVE-2013-0306¶

版本受影响¶

2013年8月13日 - CVE-2013-4249¶

版本受影响¶

2013年8月13日 - CVE-2013-6044¶

版本受影响¶

2013年9月10日 - CVE-2013-4315¶

版本受影响¶

2013年9月14日 - CVE-2013-1443¶

版本受影响¶

2014年4月21日 - CVE-2014-0472¶

版本受影响¶

2014年4月21日 - CVE-2014-0473¶

版本受影响¶

2014年4月21日 - CVE-2014-0474¶

版本受影响¶

2014年5月18日 - CVE-2014-1418¶

版本受影响¶

2014年5月18日 - CVE-2014-3730¶

版本受影响¶

2014年8月20日 - CVE-2014-0480¶

版本受影响¶

2014年8月20日 - CVE-2014-0481¶

2006年8月16日 - CVE-2007-0404 ¶

2007年1月21日 - CVE-2007-0405 ¶

2007年10月26日 - CVE-2007-5712 ¶

2008年5月14日 - CVE-2008-2302 ¶

2008年9月2日 - CVE-2008-3909 ¶

2009年7月28日 - CVE-2009-2659 ¶

2009年10月9日 - CVE-2009-3965 ¶

2010年9月8日 - CVE-2010-3082 ¶

2010年12月22日 - CVE-2010-4534 ¶

2010年12月22日 - CVE-2010-4535 ¶

2011年2月8日 - CVE-2011-0696 ¶

2011年2月8日 - CVE-2011-0697 ¶

2011年2月8日 - CVE-2011-0698 ¶

2011年9月9日 - CVE-2011-4136 ¶

2011年9月9日 - CVE-2011-4137 ¶

2011年9月9日 - CVE-2011-4138 ¶

2011年9月9日 - CVE-2011-4139 ¶

2011年9月9日 - CVE-2011-4140 ¶

2012年7月30日 - CVE-2012-3442 ¶

2012年7月30日 - CVE-2012-3443 ¶

2012年7月30日 - CVE-2012-3444 ¶

2012年10月17日 - CVE-2012-4520 ¶

2013年2月19日 - CVE-2013-1664 / CVE-2013-1665 ¶

2013年2月19日 - CVE-2013-0305 ¶

2013年2月19日 - CVE-2013-0306 ¶

2013年8月13日 - CVE-2013-4249 ¶

2013年8月13日 - CVE-2013-6044 ¶

2013年9月10日 - CVE-2013-4315 ¶

2013年9月14日 - CVE-2013-1443 ¶

2014年4月21日 - CVE-2014-0472 ¶

2014年4月21日 - CVE-2014-0473 ¶

2014年4月21日 - CVE-2014-0474 ¶

2014年5月18日 - CVE-2014-1418 ¶

2014年5月18日 - CVE-2014-3730 ¶

2014年8月20日 - CVE-2014-0480 ¶

2014年8月20日 - CVE-2014-0481 ¶

2014年8月20日 - CVE-2014-0482 ¶

2014年8月20日 - CVE-2014-0483 ¶

2015年1月13日 - CVE-2015-0219 ¶

2015年1月13日 - CVE-2015-0220 ¶

2015年1月13日 - CVE-2015-0221 ¶

2015年1月13日 - CVE-2015-0222 ¶

2015年3月9日 - CVE-2015-2241 ¶

2015年3月18日 - CVE-2015-2316 ¶

2015年3月18日 - CVE-2015-2317 ¶

2015年5月20日 - CVE-2015-3982 ¶

2015年7月8日 - CVE-2015-5143 ¶

2015年7月8日 - CVE-2015-5144 ¶

2015年7月8日 - CVE-2015-5145 ¶

2015年8月18日 - CVE-2015-5963 / CVE-2015-5964 ¶

2015年11月24日 - CVE-2015-8213 ¶

2016年2月1日 - CVE-2016-2048 ¶

2016年3月1日 - CVE-2016-2512 ¶

2016年3月1日 - CVE-2016-2513 ¶

2016年7月18日 - CVE-2016-6186 ¶

2016年9月26日 - CVE-2016-7401 ¶

2016年11月1日 - CVE-2016-9013 ¶

2016年11月1日 - CVE-2016-9014 ¶